El 13 de diciembre del año pasado Estados Unidos sufrió un ataque informático sobre SolarWinds. Este golpe, que se sospecha fue llevado a cabo por una nación exterior, fue de suma gravedad, ya que esta compañía es la proveedora del software Orion.
Un nuevo ciberataque en menos de 3 meses
Dicha aplicación, es utilizada por miles de clientes de alto valor y por instituciones estratégicas para el país norteamericano como son la NASA, el Pentágono y la Fuerza Aérea. En ese evento, las empresas y organizaciones afectadas habrían llegado a cerca de 20.000. De ahí la extrema preocupación por este hecho que, Mike Pompeo, secretario de estado en la Administración Trump, no dudó vincular -algo prematuramente- a una intervención de Rusia.
Pero eso no es todo, junto con el hallazgo de un código malicioso en los softwares de SolarWinds, también se habrían detectado intentos por ingresar a códigos fuente de aplicaciones de Microsoft. En su momento Microsoft señaló que este problema estaba solucionado. Pero al parecer la situación no era tan sencilla.
Porque con la preocupación por este hackeo de SolarWinds aún latente, en estos últimos días Estados Unidos acaba de informar al mundo acerca de un nuevo cibercrimen. Y en esta ocasión, efectivamente afectó a Microsoft que, el pasado 2 de marzo, hizo de público conocimiento que cuatro vulnerabilidades informáticas del servicio de correo electrónico Microsoft Exchange estarían siendo explotadas por un grupo de hackers. Según el gigante de Redmond, la operación consiste en:
“la explotación de vulnerabilidades en servidores con acceso a Internet (…) Una vez que han obtenido acceso a una red de víctimas, HAFNIUM normalmente extrae datos a sitios de intercambio de archivos como MEGA”.
Este “hackeo” es especialmente grave, no solo porque eventualmente compromete los datos de sus usuarios, sino sobre todo por la enorme cantidad de cuentas comprometidas. Las informaciones preliminares hablaban de cerca de 30.000 instituciones, empresas y organizaciones afectadas. Pero fuentes anónimas del gobierno estadounidense citadas por Bloomberg actualizan la cifra y la elevan a 60.000. Es decir, el triple de víctimas de la ya inquietante filtración de SolarWinds vivida a fines del año pasado.
Entre las víctimas de esta filtración de Exchange, se encuentran desde gobiernos locales hasta empresas dentro de Estados Unidos. Pero también se comienzan a conocer casos fuera del país. Este lunes, por ejemplo, la Autoridad Bancaria Europea (European Banking Authority, EBA) reconoció abiertamente ser una de las tantas instituciones afectadas, por lo que se asume que otros bancos y entidades financieras también podrían estar comprometidas.
La conjetura china
La pregunta lógica que se hacen tanto Microsoft como las autoridades estadounidenses es la que apunta a conocer quiénes perpetraron este ciberataque. El Centro de Inteligencia sobre Amenazas de Microsoft adelanta que los responsables serían un grupo de hackers denominado Hafnium.
Hafnium un colectivo reconocido como de “amenazas persistentes avanzadas” (Advanced Persistent Threat, APT), es decir un grupo bien organizado, que cuenta con recursos, que ataca silenciosamente a distintos objetivos a lo largo de un periodo prolongado de tiempo. En el caso de Hafnium, se sabe tienen sus objetivos principalmente en Estados Unidos, y que sus recursos los obtienen del apoyo del gobierno chino. Microsoft sospecha de ellos por lo que pueden deducir gracias al perfil de las víctimas, las tácticas y los procedimientos.
Según Microsoft, hay un perfil muy claro entre los afectados: investigadores de enfermedades infecciosas, bufetes jurídicos, instituciones de educación superior y contratistas en materias de defensa. También nombran a think tanks de políticas públicas y organizaciones no gubernamentales.
Un vocero del gobierno chino desmintió tajantemente estas acusaciones de cibercrimen a la agencia Reuters. Pero la sospecha de Microsoft también se contradice, al menos en parte, con la evidencia que recogen compañías de Ciberseguridad como Huntress, que aseguran que entre los afectados hay un número importante de pequeños comercios e instituciones públicas de menor relevancia y que poco se asemejan al perfil de víctimas elaborado por Microsoft.
De todas maneras, y atendiendo a un posible ataque de parte de China, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA) ya investiga el caso. De hecho, el pasado viernes, el secretario de prensa de la Casa Blanca Jen Psaki advirtió que “esta es una amenaza activa”. Y agregó que “Todas las instituciones que están operando con estos servidores -gobierno, sector privado, academia- deben actuar ahora mismo y parchar la aplicación”.
Problemas y soluciones
Que un grupo de hackers tenga acceso a los servidores de Exchange es grave, pero el problema crece con la posibilidad real de que esta información este en manos de aún más grupos. Así lo señaló a la MIT Technology Review la analista en ciberseguridad Katie Nickels, que estima que por lo menos cinco grupos de hackers están aprovechando esta filtración.
No obstante, es importante señalar que, para proteger a usuarios, Microsoft ha lanzado algunos parches de actualización de seguridad -los que la Casa Blanca invita urgentemente a instalar en las aplicaciones. Sin embargo, es probable que esta medida sea insuficiente para las organizaciones que ya se han visto comprometidas por este ataque. Esto por un tema cronológico. Según investigaciones del sitio Krebs On Security el ataque habría tenido inicio el 6 de enero y los parches de actualización de Microsoft recién fueron puestos a disposición de los usuarios el 2 de marzo, es decir, hace poco más de una semana atrás.
Aún así, dejamos este enlace a nuestros lectores (en inglés), en el que podrán encontrar más detalles técnicos sobre el ciberataque, incluyendo métodos para detectar si han sido víctimas de este ataque:
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
Acerca del Autor de este Artículo
ANDRÉS FONSECA LÓPEZ
Profesional en Ciencias Sociales, Económicas y Gestión de Proyectos. Licenciado en Filosofía, estudios de Máster en Psicología y posgrados en Trabajo Social, Innovación y Emprendimiento. Especializado en Estudios del Desarrollo, Economía Política, Cooperación al Desarrollo y Derechos Humanos.
Fuentes utilizadas en este artículo:
https://www.bbc.com/mundo/noticias-56299627
https://www.bbc.com/news/world-us-canada-56304379
https://www.bbc.com/news/business-56261516
https://www.news18.com/news/tech/microsoft-exchange-mass-cyber-attack-impact-3516770.html
https://edition.cnn.com/2021/03/10/tech/microsoft-exchange-hafnium-hack-explainer/index.html
https://www.ft.com/content/74fa3de6-dd16-4dc5-9b69-38bde634adc3
Oferta Formativa
Máster en Dirección y Gestión de la Ciberseguridad
La ciberseguridad ha pasado de ser un actor secundario a convertirse en un elemento fundamental de la estrategia corporativa, cuya gestión debe planearse y ejecutarse mediante un enfoque general orientado al cumplimiento de los objetivos estratégicos.
Con este máster de ciberseguridad online, te podrás registrar como Perito Judicial en Aspejure para figurar en los listados judiciales de Tribunales Superiores de Justicia, Audiencias Provinciales y Juzgados Decanos, así como en los juzgados de las provincias que selecciones.
Más información en nuestra página: https://www.iniseg.es/ciberseguridad/masteres-oficiales/master-en-direccion-y-gestion-de-la-ciberseguridad.html